Le facteur humain, la faiblesse préférée des fraudeurs

Lorsqu’il s’agit de cyberattaque, nous pensons souvent aux hackers types Anonymous, prodiges de l’informatique et pour qui l’effraction d’un système informatique d’entreprise n’est qu’une banalité. Pourtant, la plupart des cyberattaques et fraudes se basent sur un élément central : l’humain. C’est l’humain qui permet au cybercriminel de pénétrer dans un système d’entreprise. Les rapports “Managing the impact of increasing interconnectivity: Trends in cyber risk”, d’Allianz Global Corporate & Security (AGCS) et « The Psychology of Human Error » de Tessian publiés en juillet 2020 reviennent sur l’impact que peuvent avoir les employés sur la cybersécurité de leur entreprise.

Les cyberattaques, un mal qui peut coûter cher aux organisations

Les cyberattaques sont monnaie courante pour les entreprises. Quelles que soient leurs tailles, les entreprises y sont confrontées au quotidien sous différentes formes : phishing, ransomware ou malware, fraude au faux fournisseur, … Selon le baromètre de la fraude 2020 publié par Euler Hermès et la DFCG, 7 entreprises sur 10 ont subi au moins une tentative de fraude en 2019. Soit bien plus de la moitié des entreprises françaises. Pour 10% d’entre elles, le préjudice a été supérieur à 10K€.

Si elles sont nombreuses a avoir pris conscience du danger, elles restent encore trop peu préparées et protégées face à de potentielles cyberattaques. Des failles sont béantes, visibles principalement par les cyberattaquants dans les différents processus internes mais également dans les systèmes informatiques. Face à cette réalité, l’accent doit être mis sur la sensibilisation et la formation des collaborateurs : les erreurs humaines sont les ouvertures idéales qui permettent aux cybercriminels de s’engouffrer plus facilement dans le système.

Human after all

Selon le rapport d’AGCS, les pertes en entreprises sont provoquées à 85% par des causes externes types cyberattaques. En complément, le rapport de Tessian ajoute que 88% des failles de sécurité sont provoquées par un collaborateur, l’être humain étant considéré comme le « maillon faible » de la sécurité. Les cyberattaquants sont donc en mesure de pénétrer un système informatique d’une entreprise par une faille provoquée à la suite d’une erreur d’un des collaborateurs.

Le rapport va encore plus loin en indiquant que 43% des répondants ont fait une erreur au travail qui a compromis la cybersécurité de l’entreprise. La cybersécurité est pourtant rarement au cœur des réflexions des employés qui, s’ils sont experts dans leur domaine, le sont rarement dans celui-ci. Pourtant, le danger est bien réel et nécessite une prise de conscience véritable dans l’esprit de chacun, entraînant des changements d’habitudes et des processus retravaillés. Les cyberattaques sont de plus en plus relayées et les entreprises en prennent de plus en plus conscience. Cependant trop souvent le couplet « ça n’arrive qu’aux autres » se répète et trop peu d’actions sont mises en place pour protéger une entreprise et ses collaborateurs.

Pour la plupart des travailleurs qui ont admis avoir provoqué une faille de sécurité due à une erreur, 93% indiquent que les erreurs étaient dues au stress et à la fatigue. Alors que nous sommes dans une période difficile et imprévisible, le stress et la fatigue sont bien présents. Additionnés au télétravail, le cocktail peut être explosif !

Et le télétravail ?

Depuis le début de la pandémie de la Covid-19, le télétravail s’est imposé et nombreuses sont les entreprises qui ont dû s’adapter au pied levé pour permettre à leurs collaborateurs de travailler depuis chez eux. Entre les postes de travail improvisés, les connexions internet familiales et l’impossibilité de maintenir les processus de sécurité habituels, cette période a augmenté l’exposition des entreprises face aux cyberattaques. Les vulnérabilités sont démultipliées avec des collaborateurs dont la priorité est la continuité de leur activité, qui ont beaucoup moins de temps pour s’inquiéter de cybersécurité. Le temps est parfait pour les cybercriminels.

Selon Le Monde Informatique et le dernier rapport Checkpoint, les attaques ransomware ont connu un bond de 50% au troisième trimestre 2020, principalement dû au télétravail et à l’environnement de travail peu propice pour de nombreux travailleurs.

La cyberattaque est ainsi un métier, certes particulier, mais qui nécessite de connaître sa victime avec précision. Si les fraudeurs et cybercriminels passent leurs journées à développer de nouvelles attaques et techniques, les travailleurs doivent se concentrer sur leur cœur de métier.

Face à la fraude, la première faille, c’est donc nous, les collaborateurs de l’entreprise.

Je choisis mon réseau et je partage !

Retour au blog